ip после 60 не "видят" shared папки

[linwe]

Домен win2003srv, клиентские машины - xp sr 2-3, общее число машин приближается к 60. свичи d-link des 1024d и trendnet teg s224, а так же мелкие d-link на 4-8 портов.

Распределение ip адресов вручную.

ip 10.10.10.xxx

маска 255.255.255.0

ip шлюза 10.10.10.1

На шлюзе стоит Kerio winroute firewall 6.7.1 build 6399,

Все машины введены в домен.

Проблема в следующем: машины с адресами от 10.10.10.1 до 10.10.10.60 не испытывают никаких проблем.

А вот машины с ip от 10.10.10.61 и далее - не видят сетевых дисков и shared папок на других машинах. При попытке подключить сетевой диск, дерево домена в окне "обзор" раскрывается, список машин в домене выдаётся, но на самих машинах сетевых папок как будто бы нет.

В случае, если сетевая папка создаётся на "61ой" (или 62ой и так далее) машине, то эта папка видна со всех "1-60"-х машин.

Учётная запись, под которой я пытаюсь подключить сетевой диск не имеет значения - та же самая картина что под администратором домена, что под локальным администратором.

Кроме данной проблемы, других симптомов на "61"х машинах не наблюдается.

на работу в данную организацию пришёл недавно, возможно я ещё чего-то не нашёл, каких-то скелетов в шкафу. предшественник недоступен, спросить не у кого.

Огромная просьба - обходных путей не предлагать:)

Хочу решить.

Всем заранее спасибо!

[Maikll]

Судя по описанию - с машин, адреса которых выше 60, не "проходит" smb протокол (это tcp порты 445 и 139). А вот о причинах...

В первую очередь посмотрите на Керио, не выделены ли там адреса с 1 по 60 в отдельную группу? Скрин правил тоже приветствуется.

Если попробовать подключить сетевой диск каким-нибудь простеньким скриптом, к примеру

On Error Resume NextDim objNetworkSet objNetwork = Wscript.CreateObject("WScript.Network")objNetwork.MapNetworkDrive "Z:","\\Server\Share"WScript.Quit

что произойдет?

Изменено 6 марта, 2010 пользователем Maikll

[linwe]

в керио посмотрел раздел "группы". посмотрел раздел "пользователи". Никакого разделения на группы не обнаружил. никаких групп адресов также не обнаружил.

http://www.photoshare.ru/photo4856467.html

http://www.photoshare.ru/photo4856468.html

созвонился с предыдущим админом. с его слов, он такой ошибки не наблюдал. предполагает влияние керио.

Хочу отметить, что первое, что я сделал на этом месте работы - снёс старую машину-шлюз вместе с её керио и поставил этот фаервол заново на другую машину, сделав её шлюзом. исходя из этого могу на 90% уверенности говорить о том, что старые настройки керио нигде не сохранились. но я опасаюсь возмжности того, что старый керио ДО свей кончины подправил по своему разумению что-то в AD или групповых политиках. Обратная интеграция, так сказать. Что именно подправил -ума не приложу.

Касаемо скрипта - мне стыдно признаться, но я не владею VB, равно как и другими инструментами продвинутого уровня, я очень начинающий. :D

Среди других странностей организации данной сети - для того, чтобы заработали торренты, необходимо разрешить все исходящие соединения-со слов опять же предыдущего админа. простой проброс портов не помогает, в чём я убедился на собственной практике... но с этим позже разбираться буду.

[Maikll]

Да, хотя первым, приходящим на ум при просмотре выложенной вами части правил Керио словом было "каша", правил, мешающих прохождению трафика, я не увидел.

Оффтоп

А вот правила стоит оптимизировать. И сильно...

но я опасаюсь возмжности того, что старый керио ДО свей кончины подправил по своему разумению что-то в AD или групповых политиках. Обратная интеграция, так сказать. Что именно подправил -ума не приложу.

Такими возможностями этот продукт не обладает, это из области фантастики.

Касаемо скрипта - мне стыдно признаться, но я не владею VB, равно как и другими инструментами продвинутого уровня, я очень начинающий

Копируйте вышеприведенный текст в теге "код" в блокнот, сохраняете с расширением vbs, меняете путь \\Server\Share на реальный в вашей сети, запускаете на машине с адресом выше 60, смотрите, появится ли сетевой диск Z. Ничего сложного, как видите.

Предлагаю простой эксперимент: на одной из старых машин сменить ip на "проблемные" больше 60 и проверить, будет ли вышеописанная проблема наблюдаться на ней. По результату будем думать дальше.

Ну и конечно, если это еще не сделано, необходимо проверить работоспособность домена. При приеме доставшегося "в наследство" домена это первое, что необходимо сделать. На сервере-DC выполнить команды dcdiag и netdiag (эти утилиты отсутствуют в системе и добавлять их надо из комплекта support tools или по отдельности, воспользуйтесь поиском по форуму - лично я выкладывал их уже неоднократно), на одном из нормально рабочих мест выполнить ipconfig /all, аналогично поступить на одном их проблемных компов. Результат можете показать в виде листинга здесь.

Изменено 6 марта, 2010 пользователем Maikll

[linwe]

1. скрипт запустил. на машинах "60+" это не дало никаких результатов. Ни сообщения об ошибке, ни появления сетевого диска. Просто молчание. На машинах до 60-ти прекрасно появляется сетевой диск.

Кстати, благодарю за науку, очень полезная вещь...

2. эксперимент "на одной из старых машин сменить ip на "проблемные" больше 60 и проверить, будет ли вышеописанная проблема наблюдаться на ней. " - это первое, что я сделал. да, проблема сохраняется, увы.

3. netdiag

Computer Name: KRANCOMPSRV

DNS Host Name: krancompsrv.krancomplect.local

System info : Windows 2000 Server (Build 3790)

Processor : x86 Family 6 Model 15 Stepping 13, GenuineIntel

List of installed hotfixes :

Q147222

Netcard queries test . . . . . . . : Passed

Per interface results:

Adapter : Local Area Connection

Netcard queries test . . . : Passed

Host Name. . . . . . . . . : krancompsrv

IP Address . . . . . . . . : 10.10.10.2

Subnet Mask. . . . . . . . : 255.255.255.192

Default Gateway. . . . . . : 10.10.10.1

Dns Servers. . . . . . . . : 127.0.0.1

AutoConfiguration results. . . . . . : Passed

Default gateway test . . . : Passed

NetBT name test. . . . . . : Passed

[WARNING] At least one of the <00> 'WorkStation Service', <03> 'Messenge

r Service', <20> 'WINS' names is missing.

WINS service test. . . . . : Skipped

There are no WINS servers configured for this interface.

Global results:

Domain membership test . . . . . . : Passed

NetBT transports test. . . . . . . : Passed

List of NetBt transports currently configured:

NetBT_Tcpip_{8F3934EE-500E-4EC5-BAB5-590E4089AF99}

1 NetBt transport currently configured.

Autonet address test . . . . . . . : Passed

IP loopback ping test. . . . . . . : Passed

Default gateway test . . . . . . . : Passed

NetBT name test. . . . . . . . . . : Passed

[WARNING] You don't have a single interface with the <00> 'WorkStation Servi

ce', <03> 'Messenger Service', <20> 'WINS' names defined.

Winsock test . . . . . . . . . . . : Passed

DNS test . . . . . . . . . . . . . : Passed

PASS - All the DNS entries for DC are registered on DNS server '127.0.0.1'.

Redir and Browser test . . . . . . : Passed

List of NetBt transports currently bound to the Redir

NetBT_Tcpip_{8F3934EE-500E-4EC5-BAB5-590E4089AF99}

The redir is bound to 1 NetBt transport.

List of NetBt transports currently bound to the browser

NetBT_Tcpip_{8F3934EE-500E-4EC5-BAB5-590E4089AF99}

The browser is bound to 1 NetBt transport.

DC discovery test. . . . . . . . . : Passed

DC list test . . . . . . . . . . . : Passed

Trust relationship test. . . . . . : Skipped

Kerberos test. . . . . . . . . . . : Passed

LDAP test. . . . . . . . . . . . . : Passed

Bindings test. . . . . . . . . . . : Passed

WAN configuration test . . . . . . : Skipped

No active remote access connections.

Modem diagnostics test . . . . . . : Passed

IP Security test . . . . . . . . . : Skipped

Note: run "netsh ipsec dynamic show /?" for more detailed information

The command completed successfully

4. dcdiag

Domain Controller Diagnosis

Performing initial setup:

Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\KRANCOMPSRV

Starting test: Connectivity

......................... KRANCOMPSRV passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\KRANCOMPSRV

Starting test: Replications

......................... KRANCOMPSRV passed test Replications

Starting test: NCSecDesc

......................... KRANCOMPSRV passed test NCSecDesc

Starting test: NetLogons

......................... KRANCOMPSRV passed test NetLogons

Starting test: Advertising

......................... KRANCOMPSRV passed test Advertising

Starting test: KnowsOfRoleHolders

......................... KRANCOMPSRV passed test KnowsOfRoleHolder

Starting test: RidManager

......................... KRANCOMPSRV passed test RidManager

Starting test: MachineAccount

* KRANCOMPSRV is not trusted for account delegation

......................... KRANCOMPSRV failed test MachineAccount

Starting test: Services

RPCLOCATOR Service is stopped on [KRANCOMPSRV]

......................... KRANCOMPSRV failed test Services

Starting test: ObjectsReplicated

......................... KRANCOMPSRV passed test ObjectsReplicated

Starting test: frssysvol

......................... KRANCOMPSRV passed test frssysvol

Starting test: kccevent

......................... KRANCOMPSRV passed test kccevent

Starting test: systemlog

An Error Event occured. EventID: 0x00000457

Time Generated: 03/13/2010 17:29:49

(Event String could not be retrieved)

An Error Event occured. EventID: 0x00000457

Time Generated: 03/13/2010 17:29:49

(Event String could not be retrieved)

An Error Event occured. EventID: 0x00000457

Time Generated: 03/13/2010 17:29:49

(Event String could not be retrieved)

......................... KRANCOMPSRV failed test systemlog

Running enterprise tests on : krancomplect.local

Starting test: Intersite

......................... krancomplect.local passed test Intersite

Starting test: FsmoCheck

......................... krancomplect.local passed test FsmoCheck

вот.

[linwe]

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : GateServer01

Основной DNS-суффикс . . . . . . : krancomplect.local

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : нет

WINS-прокси включен . . . . . . . : нет

Порядок просмотра суффиксов DNS . : krancomplect.local

Беспроводное сетевое соединение - Ethernet адаптер:

DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : D-Link AirPlus G DWL-G510 Wireless P

CI Adapter(rev.C)

Физический адрес. . . . . . . . . : 00-19-5B-FF-C6-E4

Dhcp включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 10.10.10.12

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . : 10.10.10.1

DNS-серверы . . . . . . . . . . . : 10.10.10.2

и на 66й:

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : vlad-yar

Основной DNS-суффикс . . . . . . : krancomplect.local

Тип узла. . . . . . . . . . . . . : неизвестный

IP-маршрутизация включена . . . . : нет

WINS-прокси включен . . . . . . . : нет

Порядок просмотра суффиксов DNS . : krancomplect.local

Подключение по локальной сети 2 - Ethernet адаптер:

DNS-суффикс этого подключения . . :

Описание . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Eth

ernet NIC

Физический адрес. . . . . . . . . : 00-10-DC-CD-2A-F8

Dhcp включен. . . . . . . . . . . : нет

IP-адрес . . . . . . . . . . . . : 10.10.10.66

Маска подсети . . . . . . . . . . : 255.255.255.0

Основной шлюз . . . . . . . . . . : 10.10.10.1

DNS-серверы . . . . . . . . . . . : 10.10.10.2

___________________________________________________________

Читаю вот netdiag и вижу: Host Name. . . . . . . . . : krancompsrv

IP Address . . . . . . . . : 10.10.10.2

Subnet Mask. . . . . . . . : 255.255.255.192

Default Gateway. . . . . . : 10.10.10.1

Dns Servers. . . . . . . . : 127.0.0.1

на всех клиентских машинах маска 255.255.255.0

а не 192!

255-192=63, учитывая широковещательные адреса получаются как раз мои 60... Не в этом ли причина?

просто неверно настроена маска?

(А если так, то зачем это было сделано?)

[Maikll]

linwe: Да, вы правильно обо всем догадались.

При маске 255.255.255.192 у вас в сети может быть максимум 62 хоста, от 10.10.10.1 до 10.10.10.62, отсюда и проблемы.

Насчет зачем - этот вопрос задайте предыдущему админу, я лично особого смысла не вижу. Ставьте везде 255.255.255.0 - получите стандартную адресацию класса А, до 254 узлов.

В остальном проблем не вижу, по логу основные службы домена в рабочем состоянии, за исключением периодических ошибок в логах системы, советую присмотреться к ним внимательнее. По кодам как бы не проблемы с репликацией.

Кстати, благодарю за науку, очень полезная вещь...

Оффтоп

Не за что. Кстати, еще полезнее назначать подобные скрипты с помощью групповых политик ;)

[linwe]

"за исключением периодических ошибок в логах системы, советую присмотреться к ним внимательнее." - какие по-идее должны быть действия? *SCRATCH*

А вот ещё вопрос оффтопом - как бы разобраться с настройками керио?.. Когда он ставит дефолтные политики, отключается интернет... Данные правила были взяты с какого-то форума, плюс чуть доделаны чисто эмпирически... Нигде не встречали хорошего мануала? Я не вполне понимаю логику правил...

энивэй, спасибо огромное за помощь, основная заковыка решена. и всё так просто... кто бы мог подумать...

[Yezhishe]

Разборки с настройками КWF... Достаточно подробные.

[Maikll]

какие по-идее должны быть действия?

Открыть просмотр событий, найти в журналах ошибки, прочитать их... :blushing:

Dcdiag показывает, что в логах периодические ошибки с кодом EventID: 0x00000457, но на что именно жалуется система вам стоит посмотреть самостоятельно. Если выложите текст ошибок, возможно смогу подсказать конкретнее.

как бы разобраться с настройками керио?..

Собственно, ссылка на русский перевод мануала дана выше, но я хотел бы дать один совет: не ставьте вы kwf с русским интерфейсом. Перевод этой программы на наш великий и могучий конечно сделан на довольно хорошем уровне, но смысл настроек в некоторых случаях полностью теряется из-за их названия.

Логика правил там достаточно простая, следует только помнить, что kwf всегда разрешает established соединения, а значит для прохождения траффика в обе стороны нет необходимости создавать 2 правила, достаточно создать такое, которое будет выпускать в инет, а все ответы будут разрешены автоматом. Входящие правила обычно используются для портмаппинга.

[linwe]

Насчёт перевода - полностью с Вами согласен, как лигвист... Дрянь полнейшая.

Руководство требует открыть порты для U-торрента. Порты были открыты, что Вы могли увидеть из правил, но торрент так и не заработал...

Предыдущий админ сказал, что он много мучился с этой же проблемой в своё время. В результате, цитирую, "открыл все исходящие- нам это повредить не может".

По поводу сетевой безопасности я беспокоюсь, конечно, но требование начальства беспокоит меня сильнее. Ваше мнение, действительно ли открытие всех исходящих не порок с точки зрения безопасности?

И ещё, грамотно ли открыты порты на данный момент? И, если да, то как сделать "открытие всех исходящих" чтобы торрент таки заработал?

Вот сейчас попробовал ради эксперимента:

Источник: любой. назначение: prostor telecom(провайдер). Служба: любой. Действие: разрешить.

Либо

Источник: любой. назначение: интернет. Служба: любой. Действие: разрешить.

в обоих случаях во всём домене отваливается интернет...

Люблю экспериментировать в рабочее время!

Я упустил что-то основополагающее в принципе формулировки правил, и никак не пойму, что. За мануал Yezhishe спасибо, но я читал уже и на английском - ситуация не прояснилась...

По поводу ошибок буду работать в субботу основательно.

[Maikll]

Руководство требует открыть порты для U-торрента.

Даже гадать не буду, чем занимается ваша организация, что начальство требует такого. :blush2:

Предыдущий админ сказал, что он много мучился с этой же проблемой в своё время. В результате, цитирую, "открыл все исходящие- нам это повредить не может".

Ну-ну. Это смотря с какой стороны посмотреть. Лично я придерживаюсь точки зрения, что разрешать надо только действительно необходимый трафик.

Вас стоит понять 2 основных вещи:

1. Керио все исходящие пакеты пускает через nat.

2. Для доступа к внутренним ресурсам извне нужно использовать portmapping.

Исходя из этого, одним правилом разрешить входящие для множества клиентов торрента у вас не получится. Понадобится индивидуальная настройка для каждого.

Берем отсюда настройки http://www.utorrent.com/documentation/connection-setup/ + http://utorrent.org.ua/faq.htm

На клиенте указываем в настройках использовать фиксированный порт для входящих - скажем 53012, в керио делаем правило такого типа

Источник: интерфейс-смотрящий-в-интернет.

Назначение: фаерволл.

Служба: udp-порт 53012

Действие: разрешить.

Трансляция: MAP на внутренний-адрес-клиента-с-торрентом

Инспектор протокола: отключен.

Таких правил с разными портами понадобится по числу машин, на которых стоит торрент.

И одним правилом можно выпустить всех в инет (предварительно надо опять же персонально всем задать порты для исходящих net.outgoing_port в настройках utorrent) Желательно не использовать один и тот же порт, хотя в принципе никто не мешает и выпустить весь диапазон.

Правило примерно такое

Источник: интерфейс-смотрящий-в-локалку.

Назначение: фаерволл.

Служба: udp-порт или диапазон, настроенных для исходящих

Действие: разрешить.

Трансляция: NAT на интерфейс-смотрящий-в-интернет

Инспектор протокола: отключен.

Эти правила стоит поднять в самый верх таблицы чтобы они обрабатывались первыми.

Все остальные правила тоже надо привести в божеский вид. Имхо, я бы просто запустил бы заново мастера создания правил и потом дописал необходимые протоколы и правила. Сейчас, то что видно на скринах выглядит прямо скажем не очень.

[linwe]

...А кончилось всё тем, что меня сняли с этой должности;) и перевели на другую, уже не по совместительству. Эх, теперь я с айти не связан. Майкл, огромное спасибо за поддержку нуба. Возможно теперь к вам обратится мой преемник - он принял весь домен со всеми его заморочками, дай ему бог терпения:) а ОСОБЕННО с фаером.

[Maikll]

linwe:

А кончилось всё тем, что меня сняли с этой должности...

Только не говорите, что это из-за того, что вы не смогли обеспечить начальству торрент :)

Майкл, огромное спасибо...

Да пожалуйста.